關於web和sql分離--1個入侵的思考
id="contentfrm" name="contentfrm" marginwidth="0" marginheight="0" src="../../ads/crmj_news/rightad.htm" frameborder="0" width="150" scrolling="no" height="800">
這裡涉及的是這樣的乙個情況:
.web<==>firewall-->sql
.其中sql和web是單向通訊
(ps:如果sql能出來.問題簡單很多)
...現在的發現web上有注入..且是sa許可權
那麼等於拿到了sql主機的adm的許可權
....怎麼下一步進行
第一步,傳exe檔案.
利用注入傳檔案.原理上就是講exe換成16進製制
插入一張表.然後在匯出來.
第二步,執行exe檔案
利用oa和xp_cmdshell都可以執行
,方便的方法就是將執行的命令寫成乙個bat然後自動執行
...後續的動作就比較單調
dump密碼..分析-->,一般來說區域網有通用密碼和弱密碼的
概率很高.所以很容易找出.
利用scan軟體掃區域網機器.掛乙個常用字典
.在區域網裡面用sniff.對於hub連線的機器來說.簡直就是惡夢了
.還有很多技巧..就不敘述了
...其中利用注入來傳檔案應該是乙個新東西.其他都是老套路了
關於開發和國際化的分離
當前的專案有乙個需求 有多個語言的版本,但是翻譯工作不是由公司總部的人完成,翻譯工作人員分布在世界各地 另乙個情況就是專案經常更新,換句話說 catelog 會經常更新。面對這樣的情況,老闆要求不使用 poedit 客戶端,而使用 web 方式來訪問 修改和更新。因為專案是基於 ruby on ra...
通過SQL語句附加和分離資料庫
附加資料庫 sp attach db 將資料庫附加到伺服器。語法 sp attach db dbname dbname filename1 filename n 16 eg 下面的示例將 pubs 中的兩個檔案附加到當前伺服器。exec sp attach db dbname n pubs file...
今天關於web的問題 1的含義
1 load on startup元素標記容器是否在啟動的時候就載入這個servlet 例項化並呼叫其init 方法 2 它的值必須是乙個整數,表示servlet應該被載入的順序 2 當值為0或者大於0時,表示容器在應用啟動時就載入並初始化這個servlet 3 當值小於0或者沒有指定時,則表示容器...